24.Tätigkeitsbericht 2016/17 - Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - Bundespublikationen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
24.Tätigkeitsbericht 2016/17 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2016/2017 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2016 und 31. März 2017 ab.
Inhaltsverzeichnis
Vorwort
Aktuelle Herausforderungen und Schwerpunkte
I Veränderte technologische und gesellschaftliche Verhältnisse 6
II Ausdehnung und Beschleunigung der Kontrolltätigkeit des EDÖB 7
III Veränderte Erwartungen an den EDÖB 7
IV Nationale und internationale Kooperation des EDÖB 8
V Massnahmen des EDÖB zur Effizienzsteigerung 8
1 Datenschutz
1.1 Grundrechte 12
1.1.1 Verwendung der AHV-Nummer in Registern: Einheitsidentifikator versus sektorenspezifische Lösung 12
1.1.2 Vernichtung und Löschung der bei der Bevölkerungszählung erhobenen Daten 12
1.1.3 Nutzung der elektronischen Infrastruktur des Bundes: Sachverhaltsabklärungen beim
Eidgenössischen Personalamt und beim Bundesamt für Bauten und Logistik 13
1.1.4 Nationaler Adressdienst 13
1.1.5 Videoaufnahmen in Schwimmbädern zu Trainingszwecken 14
1.2 Datenschutzfragen allgemein 15
1.2.1 Revision des Bundesgesetzes über den Datenschutz 15
1.2.2 Strategie «Digitale Schweiz» 16
1.2.3 Öffentlicher Verkehr: Umsetzung der Empfehlung in Sachen SwissPass und weitere Beratung 16
1.2.4 Elektronisches Ticketing 17
1.3 Internet und Telekommunikation 18
1.3.1 Abschluss der Sachverhaltsabklärung zu Windows 10 18
1.3.2 Neue Datenschutzbestimmungen von Swisscom 18
1.3.3 Datenschutzaspekte beim Internetprotokoll IPv6 19
1.4 Justiz, Polizei, Sicherheit 20
1.4.1 Gesetz zur elektronischen Identität 20
1.4.2 Überwachung des Post- und Fernmeldeverkehrs – Totalrevision der Verordnungen 20
1.4.3 Koordinationsgruppe der schweizerischen Datenschutzbehörden im Rahmen der Schengen-Abkommen 21
1.5 Gesundheit und Forschung 22
1.5.1 Ausführungsbestimmungen zum Bundesgesetz über das elektronische Patientendossier 22
1.5.2 Projekt BAGSAN des Bundesamts für Gesundheit 22
1.5.3 Auslagerung der Rechnungsstellung im medizinischen Bereich 23
1.6 Versicherungen 24
1.6.1 Die Entbindung von der Schweigepf licht im Rahmen eines IV-Verfahrens 24
1.6.2 Kontrolle der Datenannahmestellen der Krankenversicherer 25
1.6.3 Zentrales Informationssystem zur Bekämpfung von Versicherungsmissbrauch 25
1.6.4 Einsatz von Fitnesstrackern im Versicherungsbereich 26
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.7 Arbeitsbereich 27
1.7.1 Sachverhaltsabklärung zu eRecruiting und Bewerbungsdossiers in der Bundesverwaltung 27
1.8 Handel und Wirtschaft 28
1.8.1 Swiss-U.S. Privacy Shield 28
1.8.2 Wirtschaftsauskunftei Moneyhouse – Klage vor Bundesverwaltungsgericht 28
1.8.3 Verordnungen zur Energiestrategie 2050 29
1.9 Finanzen 31
1.9.1 Bekanntgabe von Personendaten an ausländische Steuerbehörden 31
1.10 International 34
1.10.1 Internationale Zusammenarbeit 34
1.10.2 Aufsichtskoordinationsgruppen SIS II, VIS und Eurodac 36
1.10.3 Arbeitsgruppe «Border, Travel & Law Enforcement» 36
1.10.4 Arbeitsgruppe für Datenschutz und internationale humanitäre Hilfe 37
2 Öffentlichkeitsprinzip
2.1 Zugangsgesuche 40
2.1.1 Departemente und Bundesämter 40
2.1.2 Parlamentsdienste 40
2.1.3 Bundesanwaltschaft 40
2.2 Schlichtungsanträge 41
2.3 Ämterkonsultationen 42
2.3.1 Einschränkung des Öffentlichkeitsprinzips bei der Aufsicht über den öffentlichen Verkehr 42
2.3.2 Zugang zu Dokumenten über das öffentliche Beschaffungswesen 42
2.3.3 Verordnung über den Nachrichtendienst 43
2.4 Varia 44
2.4.1 Neue Arbeitsmethode bei der Durchführung von Schlichtungsverfahren 44
2.4.2 Veranstaltung 10 Jahre Öffentlichkeitsgesetz 44
3 Der EDÖB
3.1 Aufgaben und Ressourcen 46
3.2 11. Datenschutztag – Grenzen der Videoüberwachung 48
3.3 Publikationen und Veranstaltungsteilnahmen 48
3.4 Statistiken 49
3.4.1 Statistiken über die Tätigkeiten des EDÖB vom 1. April 2016 bis 31. März 2016 49
3.4.2 Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz
vom 1. Januar 2016 bis am 31. Dezember 2016 50
3.5 Das Sekretariat des EDÖB 56
Abkürzungsverzeichnis 58
24. Tätigkeitsbericht 2016/17
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort
Fast jedes Land will zurzeit die Chancen der Digitalisierung packen
und seine Bevölkerung daran teilhaben lassen. Unter anderen in den Bereichen
Verkehr und Gesundheitswesen treibt auch die Schweiz Grossprojekte voran,
für die wir als Bürgerinnen und Bürger in unseren alltäglichen Rollen als Kunden,
Patienten oder Reisende eine Fülle von Daten verfügbar machen sollen.
Ob wir das wollen und dem digitalen Experiment unser Vertrauen
schenken, hängt davon ab, ob sich transparente, faire und auf Minderheiten
Rücksicht nehmende Online-Praktiken oder digitale Bevormundung,
Aushorchung und Übertölpelung durchsetzen.
Letzterem wirken der behördliche und betriebliche Datenschutz
entgegen, indem sie frühzeitig darauf Einfluss nehmen, dass Telematik und
Robotik den grundrechtlichen Anspruch der Menschen auf ein freies
und selbstbestimmtes Leben unterstützen, statt zu gefährden. Angesichts der
experimentellen Realität der Digitalisierung braucht es dafür nach meiner
Überzeugung nebst neuer Regulierung einen pragmatischen Datenschutz,
der zuweilen auch unkonventionelle Wege gehen muss, um neuen rechtlichen
und technischen Instrumenten zum Schutz der Privatsphäre und zur
informationellen Selbstbestimmung Akzeptanz und Wirkung zu verleihen.
Weiter braucht es glaubwürdige Befugnisse und Mittel, damit der Daten-
schutz Grossprojekte zufriedenstellend begleiten und eine angemessene Dichte
an Kontrollen entfalten kann.
Adrian Lobsiger
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
24. Tätigkeitsbericht 2016/17 5Aktuelle Herausforderungen und Schwerpunkte
I Veränderte technologische und besitzen die wertvollsten Marken. Mit Ihren «Gratis-
gesellschaftliche Verhältnisse Angeboten» erreichen sie Leute rund um den Globus
und generieren damit enorme Datenbestände, die sie
Am 21. Dezember 2016 schickte der Bundesrat den gewinnbringend verwerten, sodass das Geschäftsmodell
Vorentwurf zu einer Totalrevision des Bundesgesetzes von «Big Data» immer mehr Nachahmer findet und sich
über den Datenschutz (E-DSG) in die Vernehmlassung. allmählich in allen Branchen der Wirtschaft durchsetzt.
Zur Begründung führte er an, dass er «den Datenschutz Über die Verwertung riesiger und schnell wachsender
stärken und an die veränderten technologischen und Datenbestände generieren die Bearbeitungsverantwort-
gesellschaftlichen Verhältnisse anpassen» wolle. Diese lichen Erkenntnisse, die inzwischen Rückschlüsse auf
Entwicklungen werden nachfolgend kurz skizziert. Verhaltensweisen und Präferenzen von Milliarden von
Menschen zulassen, die täglich deren Online-Dienste in
Technologie und Wirtschaft Anspruch nehmen. Als Antwort auf diese Entwicklung
Seit dem Marktauftritt des ersten iPhones im Jahre 2007 haben der Europarat mit der Konvention 108 und die
akzentuiert sich die Dynamik der Informations- und Te- EU mit ihrer Datenschutz Grundverordnung (DSGVO)
lekommunikationstechnologie (IKT). Nach den Smart- Schritte zu einem einheitlichen Datenschutzrecht ein-
phones werden immer mehr Alltagsgeräte mit leistungs- geleitet, das über seine Instrumente zur Wahrung eines
fähigen Prozessoren, Sensoren und Netzwerkmodulen äquivalenten Schutzniveaus auch auf Drittstaaten wie
ausgestattet. Über das Internet tauschen diese Geräte die Schweiz oder die USA ausstrahlt. Im Kern zielen diese
teilweise sogar ohne Interaktionen der Benutzer grosse Regelwerke darauf ab,
Datenmengen über die User und deren Umgebung aus. • die Anbieter von datenhungrigen Online-Ange-
Die Bearbeitung erfolgt in weltweit verteilten Rechen- boten zu verpflichten, Art, Inhalt und Umfang der
zentren unter Einsatz von Prozeduren (Algorithmen) zu beschafften Daten offenzulegen. Die Kunden sollen
unterschiedlichsten Zwecken. Die Technologie ist soweit wissen, welche Bearbeitungen über den betriebs-
fortgeschritten, dass gewissen Systemen «künstliche sicheren Gebrauch einer Applikation hinausgehen
Intelligenz» zugeschrieben wird, weil sie in der Lage sind, und diese demzufolge, falls nicht gewünscht, weg-
autonom von unmittelbaren Steuerimpulsen von Men- bedingen oder stoppen können;
schen in Echtzeit zu agieren. • die Datenschutz-Kompetenzen der Verantwortli-
Die technologischen Errungenschaften der IKT chen zu stärken und diese dazu zu verpflichten, nach
wären heute nicht allgegenwärtig ohne die globalisierte Massgabe der Grundsätze von «privacy by design»
Wirtschaft, die aus der IKT-gestützten Erhebung, Analy- (Einbezug des Datenschutzes in der Projektphase)
se und Weitergabe von grossen Datenmengen (Big Data) und «privacy by default» (datenschutzfreundliche
ein Geschäftsmodell entwickelt hat und die Haushalte Voreinstellungen) frühzeitig das Risiko von Persön-
und Unternehmen mit leistungsfähigeren und preis- lichkeitsverletzungen zu verringern;
günstigeren IKT-Geräten versorgt. • das Zusammenwirken des internen Datenschutzes
von Unternehmen und Behörden mit den Daten-
Gesellschaft, Politik und Recht schutzbehörden zu fördern;
Die Versorgung der Freizeit- und Arbeitswelten mit im- • die Befugnisse der Datenschutzbehörden auszubau-
mer kompakterer IKT und ein durch das Smartphone ge- en und deren Arbeitsmethoden an das verstärkte
prägter Online-Lebensstil führten zum gesellschaftlichen Zusammenwirken mit den Anwendungsverant-
Phänomen der Digitalisierung. Nebst den erwünschten wortlichen anzupassen.
Auswirkungen und Chancen führt der gesellschaftliche
Umgang mit IKT zu Risiken, die von unerwünschten Wie nachfolgend gezeigt wird, führt das beschriebene
Eingriffen in die informationelle Selbstbestimmung und technologische und gesellschaftliche Umfeld zu einer
Privatsphäre der Individuen bis hin zu Kontrollverlusten Reihe von behördenspezifischen Herausforderungen,
über grosse Datenbestände reichen. mit denen die Datenschutzstelle des Bundes konfrontiert
Die Digitalisierung wurde durch die weltweite ist:
Liberalisierung der Telekommunikationsmärkte und
den Preiszerfall von elektronischen Komponenten
beschleunigt, was zu einer Vielzahl von global tätigen
IKT-Anbietern geführt hat. Mittlerweile gehören diese
zu den kapitalkräftigsten Unternehmen weltweit und
6 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterII Ausdehnung und Beschleunigung Angesichts der grossen Zahl von Userinnen und Usern
der Kontrolltätigkeit des EDÖB sind diese Erwartungen der Schweizer Öffentlichkeit
berechtigt. Der EDÖB hat deshalb die Online-Kultur
Das Konzept von Big Data führt dazu, dass heute nicht nur und Konsumenten-Apps in seine Informations- und
die vom EDÖB zu beaufsichtigende Wirtschaft, sondern Aufsichtstätigkeit einbezogen. Die Glaubwürdigkeit des
auch die Bundesverwaltung und Bundesbetriebe eine EDÖB als Fachbehörde setzt dabei Abklärungen techno-
Vielzahl von Applikationen betreiben oder entwickeln, logischer Wirkungsweisen voraus, welche in ihrer Tiefe
die auf grossen Datenbeständen beruhen, welche die über die von den Medien geschilderte Faktenlage hinaus-
Bürgerinnen und Bürger in ihren alltäglichen Rollen als reichen. Mit dem Betrieb einer Hotline, der Stärkung sei-
Kunden, Patienten, oder Reisende speisen. Obwohl die ner personellen IT-Kompetenz sowie dem Aufbau eines
Verantwortlichen die beschafften Datenbestände meist rudimentären IT-Labors, mit dem gängige Smartphone-
nicht oder nur teilweise personenbezogen auswerten, Applikationen und andere Online-Angebote in Bezug auf
besteht aufgrund der Leistungsfähigkeit moderner Such- ihre Datenschutzfreundlichkeit getestet werden, trägt
maschinen das Risiko einer Re-Identifizierung einzelner der EDÖB den dringendsten Bedürfnissen Rechnung.
Personen. Der EDÖB muss seine Aufsichtstätigkeit des- Auf Wunsch privater Unternehmen und staatsna-
halb auf eine Vielzahl von Projekten der Bundesbehörden her Bundesbetriebe ist der EDÖB vermehrt dazu über-
und der Wirtschaft ausdehnen, mit denen diese wissen- gegangen, umfassende Projekte, welche die Bearbeitung
schaftliche, statistische sowie technische oder adminis- grosser Mengen an Daten aus menschlichen Quellen
trative Zwecke ohne Personenbezug verfolgen. Er muss zum Gegenstand haben, beratend zu begleiten. Dieses
sich vergewissern, dass die erhobenen Informationen in Bedürfnis nach möglichst frühzeitiger Projektberatung
einer Art und Weise anonymisiert werden, die eine Re- leitet sich aus der gewandelten Arbeitsweise der Rechts-
Identifizierung nach dem aktuellen Stand der Technik und Datenschutzstellen dieser Betriebe ab, die Projekte
mit hinreichender Wahrscheinlichkeit ausschliesst. Weil von Beginn an auf ihre Datenschutzkonformität hin
anonymisierte Daten auch mit den über das Internet zu- überprüfen, wie dies das vom E-DSG statuierte Prinzip
gänglichen Informationen abgeglichen werden können, von «privacy by design» vorschreibt.
erweist sich diese Arbeit für den EDÖB als anspruchsvoll Da Kontrollen des EDÖB bei bereits realisierten
und zeitintensiv. Er muss die entsprechenden Projekte Applikationen zu kostspieligen und reputationsschä-
interdisziplinär, d.h. juristisch und technisch begleiten. digenden nachträglichen Korrekturen führen können,
Applikationen zur Bearbeitung von Personendaten findet «privacy by design» bei vielen Betrieben Anklang;
werden heute in der Regel nicht mehr zur lokalen Instal- insbesondere wenn diese Methode mit einer phasen-
lation ausgeliefert, sondern über das Internet zugänglich weisen Beurteilung wichtiger Projektschritte durch die
gemacht und laufend weiterentwickelt und so z. B. online Datenschutzbehörde gekoppelt werden kann. Für den
gegen Malware geschützt oder mit neuen Funktionen EDÖB ist eine beratende und beaufsichtigende Aufga-
ausgestattet. Das bedeutet, dass die Kontrollen der sich ben kombinierende Arbeitsweise mit dem Vorteil einer
laufend verändernden Applikationen anspruchsvoller frühzeitigen Minderung datenschutzrelevanter Risiken
geworden sind und auch rascher abgeschlossen werden verbunden. So kann er auch auf kurzlebige Applikationen
müssen als früher. Einfluss nehmen, die sich über langwierige Verfügungs-
oder gar Sanktionsverfahren nur beschränkt beeinflussen
liessen.
III Veränderte Erwartungen Als aktuelle Beispiele lassen sich Grossprojekte wie
an den EDÖB Mobility Pricing der öffentlichen Verkehrsbetriebe und
des UVEK, Sesam von Post und SBB, TWINT von Post
Der digitale Lebensstil ist von einer Sorglosigkeit im und Banken oder Admeira von Swisscom, SRG und Rin-
Umgang mit IKT geprägt, die abrupt in öffentliche Ent- gier anführen.
rüstung umzuschlagen pflegt, sobald Medien oder Kon-
sumentenschutzorganisationen eine Massenapplikation
wegen angeblich unerlaubter Eingriffe in die Privatsphäre
kritisieren. Die Öffentlichkeit erwartet, dass der EDÖB
zumindest bezüglich der aktuell gängigsten Applikatio-
nen, die oft gratis im Netz verfügbar sind, proaktiv über
Risiken informiert. Gleichzeitig soll er Möglichkeiten
zur Wahrung der Privatsphäre aufzeigen und im Rahmen
von aufsichtsrechtlichen Verfahren die Datenschutzkon-
formität solcher Massenapplikationen durchsetzen.
24. Tätigkeitsbericht 2016/17 7IV Nationale und internationale verankerten Prinzipien umsetzen. Ganz besonders dürf-
Kooperation des EDÖB te dies gegenüber der Schweiz der Fall sein, die als asso-
ziiertes Mitglied von Schengen-Dublin grosse Mengen
Weil die Datenschutzbehörden von Bund und Kantonen sensibler Behördendaten mit der EU austauscht.
in weiten Teilen mit den gleichen Entwicklungen und Vor diesem Hintergrund wird deutlich, dass der
Technologien zur Bearbeitung von Personendaten kon- EDÖB als primäre Ansprechstelle für die ihrerseits
frontiert sind, strebt der EDÖB vor dem Hintergrund der unabhängigen Datenschutzorgane der EU und ihrer Mit-
Digitalisierung eine Intensivierung seiner Kontaktpflege gliedstaaten präsent und wahrnehmbar sein muss. Das
mit den kantonalen Datenschutzbehörden an. Deren bedingt, dass er auch an den diversen internationalen
Zusammenarbeit wird durch den Verein «privatim» in- Veranstaltungen angemessen vertreten und in der Lage
terkantonal koordiniert. sein muss, den damit verbundenen Aufwand zu leisten.
Ein anschauliches Beispiel für die Notwendigkeit Dies auch mit Blick auf die EU-Richtlinie 2016/680,
einer engen Zusammenarbeit ist die vom Bundesrat ge- welche verlangt, dass der EDÖB in die Arbeiten des EU-
plante Einführung der nicht sprechenden AHV-Nummer Datenschutzkomitees eingebunden wird.
13 als universeller Identifikator für die Verwaltungen von
Bund, Kantonen und Gemeinden. Es liegt auf der Hand,
dass dieses Vorhaben mit Blick auf die technologischen V Massnahmen des EDÖB
Risiken von unerwünschten Re-Identifikationen durch zur Effizienzsteigerung
die Datenschutzstellen des Bundes und der Kantone
gemeinsam beurteilt werden muss. Zur Bewältigung der behördenspezifischen Herausfor-
Im internationalen Bereich zeichnen sich folgende derungen und der damit einhergehenden Erwartungs-
neuen Aufgaben ab: haltungen der Wirtschaft und Behörden wie auch der
Öffentlichkeit hat der EDÖB in der Berichtsperiode
Privacy Shield 2016/2017 eine Reihe von Massnahmen zum effizien-
Durch das Internet und die Dominanz der kaliforni- ten Einsatz seiner Mittel realisiert.
schen IT-Industrie, die gigantische Rechenzentren oder Aufgrund der dargelegten Herausforderungen hat
Clouds betreibt, in denen biometrische und andere der EDÖB folgende strategischen Schwerpunkte gesetzt:
Personendaten von Millionen von Schweizer Nutzern • Stärkung der eigenen Kompetenzen bezüglich
bearbeitet werden, ist die Beurteilung der Übermittlung Technologien sowie Geschäfts- und Kommunikati-
von Personendaten ins Ausland zu einem wichtigen Teil onsmodelle der digitalen Gesellschaft;
der Aufsichtstätigkeit des EDÖB geworden. Damit sich • Beratende Begleitung relevanter Projekte von Be-
die neue Regelung «Privacy Shield», die im Januar 2017 hörden und Wirtschaft;
zwischen der Schweiz und den USA abgeschlossen wur- • Wahrnehmbare Präsenz für die betroffenen Bürge-
de, im Gegensatz zu dem vom EuGH kassierten «Safe rinnen und Bürger in der Schweiz.
Harbor»-Abkommen etablieren und an die aktuellen Ausgehend von dieser Strategie wurde für das Jahr 2017
Bedürfnisse anpassen kann, wurden mit den USA jähr- ein Plan erarbeitet, der die beratende Begleitung von zehn
liche Evaluationen vereinbart. Diese werden vom SECO grösseren Projekten sowie acht umfassendere Kontrollen
angeführt und durch den EDÖB begleitet und mit einer vorsieht (vgl. dazu Ziffer 3.1.1 des vorliegenden Tätig-
eigenständigen Berichterstattung abgeschlossen. keitsberichts).
Vergemeinschaftung des Datenschutzes in der EU Reorganisation der Behörde
Am 1. Mai 2018 wird die EU ihre Datenschutz Grund- Die strategische und operative Fokussierung auf die
verordnung (DSGVO) in Kraft setzen, welche auch Digitalisierung wird durch eine finanzneutrale Reorga-
für Applikationsverantwortliche in der Schweiz zur nisation der Behörde unterstützt, die am 1. April 2017
Anwendung gelangt, soweit sie Daten von Bürgern in in Kraft getreten ist. Sie zielt darauf ab, die technischen
der EU bearbeiten. Mit diesem Regelwerk werden die Kompetenzen der Behörde zu stärken und deren Leitung
Datenschutzgesetze der einzelnen EU-Mitgliedstaaten von alltäglichen Querschnittsaufgaben zu entlasten:
aufgehoben. Die nationalen Datenschutzbehörden
werden ihre Aufsichtstätigkeiten inskünftig intensiver
aufeinander abstimmen.
Angesichts der unionsweiten Bündelung des
Datenschutzes und der extraterritorialen Anwendung
der DSGVO ist davon auszugehen, dass die EU Einfluss
darauf nehmen wird, wie Drittstaaten die in der DSGVO
8 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterAlle traditionellen Stabs- und Querschnittsaufgaben
wie Geschäftskontrolle, Kommunikation, Finanzen
wurden in die neu gebildete Einheit Kompetenzzent-
ren überführt (vgl. dazu das Organigramm des EDÖB:
www.derbeauftragte.ch, Der EDÖB – Organisation).
Dort werden u.a.:
• alle technischen Kompetenzen für die Unterstüt-
zung der datenschutzrechtlichen Verfahren und die
eigene Weiterbildung gebündelt;
• aktuelle Entwicklungen der Digitalisierung analy-
siert.
Die beiden bisherigen Einheiten zum Vollzug des DSG
wurden unter Bildung dreier Teams zusammengefasst.
Eine erneuerte Laborumgebung ermöglicht das
Austesten von Consumer-Apps, IKT-Produkten oder
sozialen Netzwerken. Bei besonderen technischen Fra-
gestellungen kann der EDÖB das BAKOM und den ISB
(MELANI) amtshilfeweise um fachliche Unterstützung
angehen.
Konzeptionelle Erneuerung des
Informationsangebots
Der EDÖB beantwortete 2016 rund 3500 mündliche
und schriftliche Anfragen von Bürgerinnen und Bürgern,
Firmen und Organisationen. Zudem veröffentlichte er
auf seiner Webseite ein breites Angebot von Informatio-
nen über technologische Entwicklungen mit praktischen
Ratschlägen sowie sämtliche formellen Empfehlungen,
die er im Zuge seiner Aufsichtstätigkeit erlässt. Dieses
Angebot wurde zusammen mit dem Geschäftsbericht
einer konzeptionellen Überarbeitung unterzogen. Damit
will der EDÖB dem gesteigerten öffentlichen Bedürfnis
nach proaktiver Information über gängige technische
Applikationen bestmöglich Rechnung tragen.
Angepasstes Verfahren im Bereich des
Öffentlichkeitsgesetzes (BGÖ)
In der Einheit BGÖ sind in den letzten Jahren erhebliche
Arbeitsrückstände bei der Behandlung von Schlich-
tungsanträgen entstanden. Um zu vermeiden, dass zu
deren Abbau wie in den Vorjahren Personal aus dem
Datenschutz-Bereich abgezogen werden muss, ist der
EDÖB ab dem 1. Januar 2017 zu einem beschleunigten
und summarischen Verfahren übergegangen, das sich
dadurch charakterisiert, dass in der Regel mündliche
Schlichtungsverhandlungen durchgeführt werden (vgl.
dazu Ziffer 3.1 des vorliegenden Tätigkeitsberichts).
24. Tätigkeitsbericht 2016/17 910 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 24. Tätigkeitsbericht 2016/17 11
1.1 Grundrechte
1.1.1 Verwendung der AHV-Nummer lichen Verwendungen der AHV-Nummer ausserhalb des
in Registern: Sozialversicherungsbereichs integral und gleichzeitig
Einheitsidentifikator versus betroffen wären, wenn es zu unberechtigten Datenab-
sektorenspezifische Lösung flüssen oder -manipulationen käme. Weiter äusserten
wir Zweifel daran, ob als sektorenübergreifender Identifi-
Im Berichtsjahr haben wir die Rechtskommissionen des kator ausgerechnet die AHV-Nummer als sichere Lösung
National- und Ständerates hinsichtlich der Einführung gelten könne, obwohl diese über alle privaten Betriebe
der AHV-Versichertennummer für das Handelsregister verbreitet ist.
und Grundbuch beraten. Zudem äusserten wir uns zum Dem hält die Verwaltung entgegen, dass die Risiken
Vorhaben des Bundesrats, die Verwendung der AHV- für den Datenschutz angesichts der Leistungen moderner
Nummer auch ausserhalb des Sozialversicherungsbe- Suchprogramme bei Verwendung sektorenspezifischer
reichs systematisch zu ermöglichen. Identifikatoren nicht geringer seien als bei einheitlicher
Wir setzen uns seit Jahren für die Verwendung von sek- Verwendung der AHV-Nummer. Wie wir auch anlässlich
torenspezifischen Identfikatoren ein (vgl. u.a. unseren seiner Anhörungen durch parlamentarische Kommis-
Tätigkeitsbericht 2014/2015, Ziffern 1.1.2 und 1.1.3). sionen darlegten, verschliessen wir uns dieser Argu-
Einen solchen haben Bundesrat und Parlament denn mentation nicht generell. Ob aufgrund des technischen
auch bei der Patientenidentifikationsnummer nach dem Fortschritts tatsächlich eine Neueinschätzung der Risi-
Bundesgesetz über das elektronische Patientendossier ken angezeigt ist, hat die Verwaltung als Verursacherin
vorgesehen. Auch mit der Verabschiedung der revidier- dieser Risiken indessen mit wissenschaftlich untermau-
ten Bestimmungen zum Handelsregister im Obligatio- erten Fakten belegen zu lassen. Weil vom angestrebten
nenrecht hat der Gesetzgeber am 17. März 2017 einen Systemwechsel alle Gemeinwesen der Schweiz und die
sektoriellen Identifikator geschaffen, der im Verkehr der Personendaten von Millionen von Menschen betroffen
Register gegen aussen sichtbar ist. Damit wird einerseits wären, fordern wir die Erstellung einer Risikofolgenab-
die sichere Identifikation der im Register eingetragenen schätzung durch eine unabhängige Fachstelle. Die Daten-
Personen gewährleistet; andererseits wird unseren schutzorgane von Bund und Kantonen sollen dann zu
datenschutzrechtlichen Bedenken betreffend die miss- gegebener Zeit zu dieser Studie Stellung nehmen können.
bräuchliche Verknüpfung von Personendaten Rechnung
getragen. Das Eidgenössische Amt für das Handelsregis-
ter wird die Ableitung der Nummer vornehmen. 1.1.2 Vernichtung und Löschung
Im Berichtsjahr wurden wir in den Rechtskommis- der bei der Bevölkerungszählung
sionen des National- und des Ständerats nicht nur zur erhobenen Daten
Handelsregistervorlage, sondern auch zur Revision des
Grundbuchrechts konsultiert. Nachdem sich der Stän- Im Berichtsjahr haben wir beim Bundesamt für
derat in Anlehnung an das Handelsregisterrecht auch Statistik (BFS) eine Sachverhaltsabklärung eröffnet.
für das Grundbuch für die Verwendung einer sektoren- Im Fokus der Untersuchung steht namentlich die
spezifischen Nummer aussprach, wird diese Frage nun Kontrolle der Vernichtung und Löschung der Daten, die
im Frühsommer 2017 von der Rechtskommission des anlässlich der Bevölkerungszählung erhoben werden.
Nationalrats behandelt. Uns interessierte, wie das BFS die Volkszählungsdaten
Nachdem im Gesundheits- und Registerrecht nach der Erfassung, Bereinigung sowie Kontrolle löscht
sektorenspezifische Identifikatoren eingeführt wurden, bzw. vernichtet. Wir erachteten es als notwendig, die in
hat der Bundesrat am 1. Februar 2017 das Eidgenössi- diesem Zusammenhang stehenden Prozesse vertiefter
sche Departement des Innern damit beauftragt, eine anzuschauen und auf ihre Konformität mit dem Daten-
Gesetzesvorlage auszuarbeiten, welche die systemati- schutzgesetz (DSG) zu überprüfen. Einen Augenschein
sche Verwendung der AHV-Nummer durch Behörden vor Ort beim BFS haben wir bereits vorgenommen. Als
des Bundes, der Kantone und der Gemeinden über den nächstes werden wir die vom BFS erhaltenen Unterlagen
Sozialversicherungsbereich hinaus erleichtern soll. Wir und Antworten auf unsere Rückfragen analysieren und
sehen darin einen Richtungswechsel oder zumindest prüfen, ob die genannten Prozesse den Anforderungen
eine Inkonsistenz zu den vorerwähnten, sektorenspezi- des DSG genügen.
fischen Lösungen.
Wir wiesen stets darauf hin, dass die Verwaltungen
von Bund, Kantonen und Gemeinden bei einer einheit-
12 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter1.1.3 Nutzung der elektronischen 1.1.4 Nationaler Adressdienst
Infrastruktur des Bundes:
Sachverhaltsabklärungen beim Wir haben im Rahmen einer Ämterkonsultation zur
Eidgenössischen Personalamt Schaffung eines nationalen Adressregisters Stellung
und beim Bundesamt für Bauten genommen. Unseren Bemerkungen wurde im Wesent-
und Logistik lichen Rechnung getragen. Wir werden das Projekt
weiterhin aufmerksam verfolgen.
Wir haben zwei Kontrollen beim Eidgenössischen Per- Am 12. November 2014 beauftragte der Bundesrat das
sonalamt (EPA) und beim Bundesamt für Bauten und Eidgenössische Justiz- und Polizeidepartement (EJPD),
Logistik (BBL) betreffend einen Teil der Nutzung der die verschiedenen Möglichkeiten zur Schaffung eines
elektronischen Infrastruktur des Bundes durchgeführt nationalen Adressregisters zu prüfen und ihm vor Ende
und sind zum Schluss gekommen, dass die angewen- 2016 einen Vorschlag zu unterbreiten (vgl. unseren
dete Dauer der Datenaufbewahrung den gesetzlichen 23. Tätigkeitsbericht 2015/2016, Ziff. 1.1.3).
Anforderungen entspricht. Diese Studie unter der Leitung eines vom Bundes-
Im Berichtsjahr überprüften wir im Rahmen unserer amt für Justiz (BJ) beauftragten Experten gelangte zum
Aufsichtstätigkeit, ob die Daten, die bei der Nutzung Schluss, dass die optimale Lösung in der Einrichtung
der elektronischen Infrastruktur des Bundes anfallen, eines Registers auf Bundesebene (Nationaler Adress-
rechtzeitig und korrekt vernichtet werden. Bei dieser dienst – NAD) liegt, das die derzeit vom Bundesamt
Kontrolle ging es darum zu verstehen, wie die Vernich- für Statistik (BFS) zu statistischen Zwecken erhobenen
tung dieser Daten konkret erfolgt, und zu beurteilen, ob Adressdaten verwendet. Dafür müsste eine Überleitung
die Aufbewahrungsdauer eingehalten wird. In diesem geschaffen werden, um den Datentransfer vom BFS zum
Kontext eröffneten wir zwei Sachverhaltsabklärungen: NAD sicherzustellen. Die Organisation des NAD soll von
Die erste erfolgte beim EPA und betraf die Daten über dem bisher durch das BFS geführten Register unabhän-
die Arbeitszeiten des Personals im Sinne des Regierungs- gig sein. Die Kosten könnten durch die Erhebung einer
und Verwaltungsorganisationsgesetzes (RVOG) mit ei- Gebühr gedeckt werden. Rechtlich gesehen kann die
ner Aufbewahrungsdauer von höchstens fünf Jahren. Das Schaffung des NAD im Anschluss an eine Änderung des
zweite Verfahren wurde beim BBL eingeleitet und bezog Registerharmonisierungsgesetzes (RHG) erfolgen. Die
sich auf die Daten über das Betreten oder Verlassen von technischen und organisatorischen Details des NAD sind
Gebäuden und Räumen der Bundesorgane und über den noch zu präzisieren.
Aufenthalt darin. Diese Daten dürfen während maximal Der Bundesrat muss sich zur Schaffung des NAD
drei Jahren aufbewahrt werden. äussern und das EJPD beauftragen, ihm mit der techni-
Da unsere Lageanalyse keine Hinweise auf mögliche schen Unterstützung des BFS bis Ende 2018 einen Ent-
Verfehlungen betreffend die in der Verordnung über die wurf zwecks externer Vernehmlassung zu unterbreiten.
Bearbeitung von Personendaten vorgesehene Aufbewah- Im Rahmen der Ämterkonsultation wurden wir auf-
rungsdauer ergab, haben wir die Kontrollen ohne Abgabe gefordert, Stellung zu nehmen zum Fortschrittsbericht
von Empfehlungen abgeschlossen. Wir stellten fest, dass über den Adressdatenaustausch zwischen den Einwoh-
die Aufbewahrungsdauer die in der Verordnung vorge- nerregistern und anderen Dateninhabern. Unsere Bemer-
gebenen Fristen nicht überschreitet und demnach die kungen sind im Wesentlichen berücksichtigt worden. Sie
Anforderungen des Datenschutzgesetzes erfüllt. betrafen die genauen Zwecke eines solchen Dienstes, die
Rolle des BFS – Garant der statistischen Geheimhaltung
und einer seinem gesetzlichen Auftrag entsprechenden
Datennutzung -, die Aufbewahrungsdauer der Adressen,
den Kreis der Nutzungsberechtigten, die Verhältnismäs-
sigkeit der Datenerhebung, die Genauigkeit der Daten
im Falle einer nicht unmittelbaren Aktualisierung, die
Organisation des NAD und der Aufsichtsbehörde sowie
die technischen und organisatorischen Massnahmen, die
zur Gewährleistung des Datenschutzes getroffen werden.
Als Mitglieder der Arbeitsgruppe werden wir das
Projekt weiter aufmerksam verfolgen und sicherstellen,
dass angesichts der in der Folge noch anzubringenden
technischen und organisatorischen Präzisierungen die
vorgeschlagene Variante dem Datenschutz gerecht wird.
24. Tätigkeitsbericht 2016/17 131.1.5 Videoaufnahmen in Schwimm-
bädern zu Trainingszwecken
Videoaufnahmen in Schwimmbädern können die Intim-
sphäre der Badegäste tangieren. Deswegen muss
bei Trainingseinheiten, bei denen Videoanalysen zum
Einsatz kommen, sichergestellt werden, dass sich
keine unbeteiligten Badegäste im Aufnahmebereich
aufhalten.
Videoanalysen haben sich als Trainingsinstrument in
diversen Sportarten etabliert und leisten beispielsweise
bei der Optimierung von Bewegungsabläufen wertvolle
Dienste. So ist es nicht weiter verwunderlich, dass auch
Schwimmtrainer gerne darauf zurückgreifen. Wenn
das Schwimmtraining dabei in einem öffentlichen Bad
durchgeführt wird, kann dies jedoch zu heiklen Situati-
onen für den Persönlichkeitsschutz führen.
Unterwasseraufnahmen in öffentlichen Schwimm-
bädern können die Intimsphäre der Betroffenen tangieren,
was sich durch Trainingszwecke allein nicht rechtfertigen
lässt. Dementsprechend dürfen solche Aufnahmen nur
mit der expliziten Einwilligung aller Betroffenen erstellt
werden. Das Einholen einer solchen Einwilligung bei den
gefilmten Sportlerinnen und Sportler bereitet vergleichs-
weise wenig Probleme. Ein vom Bundesamt für Sport
(BASPO) zum Thema veröffentlichtes Informationsblatt
gibt hier weiter Auskunft (www.mobilesport.ch).
Bei unbeteiligten Badegästen hingegen kann die
explizite Einwilligung nur sehr schwer eingeholt wer-
den. Eine gültige Einwilligung setzt voraus, dass die
betroffenen Personen über alle wesentlichen Aspekte
der Videoaufzeichnung informiert worden sind. Dies
beinhaltet nebst der Tatsache, dass solche Aufnahmen
gemacht werden, insbesondere auch deren Zweck, deren
Aufbewahrungsdauer und wer die Aufnahmen ansehen
kann. Die Einwilligung muss zudem freiwillig erfolgen,
das heisst, die Betroffenen müssen das Schwimmbad
nutzen können, ohne dabei gefilmt zu werden.
Es dürfte sich als kaum praktikabel erweisen, bei
Normalbetrieb des Bades sämtliche sich zufällig im
Aufnahmebereich aufhaltenden Badegäste ausreichend
zu informieren und den allfällig geäusserten Willen,
nicht gefilmt zu werden, zu berücksichtigen. Dement-
sprechend muss der Datenbearbeiter sicherstellen, dass
sich nur Teilnehmer der Trainingseinheit im fraglichen
Bereich aufhalten. Dies lässt sich zum Beispiel erreichen,
indem man Videoanalysen nur ausserhalb der offiziellen
Öffnungszeiten des Bades durchführt.
14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter1.2 Datenschutzfragen
allgemein
1.2.1 Revision des Bundesgesetzes tend machen zu können oder das Recht zu erfahren, auf
über den Datenschutz welche Weise solche Entscheidungen getroffen werden.
Die Revision zielt auch auf eine Verstärkung und Kon-
Am 21. Dezember 2016 hat der Bundesrat den Vorent- kretisierung der Verpflichtungen der Verantwortlichen
wurf für die Revision des Bundesgesetzes über den für die Bearbeitung ab. Sie sieht namentlich die Pflicht
Datenschutz in die Vernehmlassung geschickt. Ziel vor, Datenschutzverletzungen zu melden, Datenschutz-
dieser Revision sind die Anpassung unserer Gesetzge- Verträglichkeitsprüfungen durchzuführen und die
bung an die neuen Technologien, die Verstärkung des Bearbeitungen zu dokumentieren. Sie führt auch den
Datenschutzes und der Attraktivität der Schweiz für Grundsatz des Datenschutzes bereits bei der Planung als
das digitale Zeitalter. Die Revision soll es der Schweiz Standard ein (Privacy by Design).
insbesondere ermöglichen, sich den neuen europä- Mit der Revision sollen zudem die Kompetenzen
ischen Standards anzunähern und weiterhin über des EDÖB erweitert werden, indem er eine Entschei-
ein angemessenes Datenschutzniveau zu verfügen. dungsbefugnis erhält. Er sollte künftig auch Empfeh-
Für uns ist es wichtig, dass die Revision rasch zum lungen der guten Praxis abgeben können, die in Zusam-
Abschluss gebracht wird. menarbeit mit den betroffenen Kreisen ausgearbeitet
Das Bundesgesetz über den Datenschutz (DSG) gehört werden; ausserdem wird er zwingende Vorschriften
zu den Datenschutzgesetzen der ersten Generation. Es für Unternehmen im Rahmen eines Datentransfers ins
stammt aus der Zeit vor dem Internet, den Smartphones Ausland genehmigen oder anerkennen können. Er wird
und dem Internet der Dinge. Eine Revision ist unum- befähigt, Standardvertragsklauseln zu erlassen, anzuer-
gänglich, um den neuen Herausforderungen der digita- kennen oder zu genehmigen. Dagegen wird es in Zukunft
len Gesellschaft gerecht zu werden und die Achtung der Aufgabe des Bundesrates sein, Beschlüsse betreffend das
Rechte und Grundfreiheiten der Menschen bei der Bear- angemessene Schutzniveau eines Drittstaates zu fassen.
beitung sie betreffender Daten besser zu gewährleisten. Die Möglichkeiten der Zusammenarbeit mit an-
Mit der Revision soll auch der Reform des europäischen deren Datenschutzbehörden in der Schweiz und im
Rechtsrahmens und insbesondere der Modernisierung Ausland und der Amtshilfe werden verbessert. Um seine
des Übereinkommens des Europarates zum Schutz des derzeitigen und künftigen Aufgaben glaubwürdig und ef-
Menschen bei der automatischen Verarbeitung perso- fektiv wahrnehmen zu können, wird der EDÖB indessen
nenbezogener Daten (Übereinkommen 108) Rechnung zusätzliche Ressourcen und Mittel benötigen, wie der er-
getragen werden. Im Auftrag des Bundesrates hat das läuternde Bericht zum Vorentwurf betont. Er sollte über
Bundesamt für Justiz einen Entwurf zur Totalrevision ein eigens dafür vorgesehenes Budget verfügen, ähnlich
des DSG ausgearbeitet. Diesen Entwurf hat der Bundesrat dem für die eidgenössische Finanzkontrolle gewählten
am 21. Dezember 2016 in die Vernehmlassung gegeben. Modell. Ausserdem strebt die Revision eine bedeutende
Wir haben an den Revisionsarbeiten mitgewirkt Erweiterung der strafrechtlichen Sanktionen an, wenn-
und unseren Standpunkt in der Arbeitsgruppe und im gleich die Höhe der Sanktionen gegenüber der europäi-
Ämterkonsultationsverfahren eingebracht. Der Entwurf schen Verordnung geringer ausfällt. Schliesslich wird
entspricht unseren Erwartungen weitgehend. Einige die Pflicht zur Anmeldung von Datensammlungen oder
Punkte müssen indes erneut geprüft werden, damit -bearbeitungen im Privatsektor abgeschafft. Das Register
unsere Gesetzgebung im Einklang mit dem revidierten der Datensammlungen wird künftig nur noch die Bear-
Übereinkommen 108 steht und sich dem europäischen beitungen durch Bundesorgane erfassen.
Rechtsrahmen stärker annähert. Eine solche Annäherung Wir anerkennen die Qualität der Revisionsvorlage,
würde eine grössere Rechtssicherheit bieten, was nicht sind aber der Ansicht, dass sie ergänzt werden müsste.
nur den betroffenen Personen, sondern auch den Daten- So haben wir im Ämterkonsultationsverfahren unter
bearbeitern und dem Wirtschaftsstandort Schweiz zum anderem vorgeschlagen, die Stellung der betroffenen
Vorteil gereicht. Personen zu stärken, namentlich mit einem Wider-
Die Revision soll das Recht auf Datenschutz stär- spruchsrecht gegen die Bearbeitung, einem Recht auf
ken, damit jedermann eine bessere Kontrolle über die Datenübertragbarkeit sowie einem Auslistungsrecht als
ihn betreffenden Informationen erlangt. Dies erfordert Ergänzung zum Recht auf Löschung. Die Verantwortli-
eine grössere Transparenz der Bearbeitungen und die chen von Bearbeitungen, die ein besonderes Risiko für
Gewährung neuer Rechte, etwa das Recht, seinen die Privatsphäre darstellen, sollten zur Ernennung eines
Standpunkt vor einer automatischen Entscheidung gel- Datenschutzberaters verpflichtet werden. Diese Aufgabe
24. Tätigkeitsbericht 2016/17 15wird in zahlreichen Unternehmen bereits umfassend schutz setzt allerdings voraus, dass der Datenbearbeiter
wahrgenommen, ist Gegenstand von Lehrgängen und weiss, welche Daten er wie bearbeitet. Deshalb haben wir
bildet ein wirksames Instrument zur Umsetzung des angeregt, die Projektträger zu verpflichten, die geplanten
Datenschutzes in Unternehmen und in der Verwaltung. Datenbearbeitungen angemessen zu dokumentieren
Schliesslich sollte das DSG auch für Datenbearbeiter und eine Analyse zu ihren potenziellen Auswirkungen
gelten, die keinen Sitz in der Schweiz haben, deren Be- auf die Rechte der betroffenen Personen vorzunehmen.
arbeitungen aber ihre Wirkung in der Schweiz entfalten Als weitere Massnahme der Strategie wurde eine Arbeits-
und hier niedergelassene Personen betreffen. Diese Un- gruppe geschaffen, welche ein Aussprachepapier zur
ternehmen sollten verpflichtet werden, einen Ansprech- Datenpolitik der Schweiz erstellen soll. Wir sind in dieser
partner in der Schweiz zu haben, insbesondere um die Arbeitsgruppe vertreten und haben insbesondere betont,
Wahrnehmung der Rechte der betroffenen Personen zu dass der Daten- und Persönlichkeitsschutz auch langfris-
erleichtern. Das Verhältnis zwischen unserer Gesetzge- tig sichergestellt werden muss. Ebenfalls regten wir an,
bung und der europäischen Verordnung, namentlich ihre den betroffenen Personen auch künftig ein Wahlrecht
Auswirkungen in der Schweiz oder für schweizerische in Bezug auf die Verwendung ihrer Daten einzuräumen.
Bearbeitungsverantwortliche mit Bearbeitungstätigkei- Zudem konnten wir die Wichtigkeit der Unterscheidung
ten in Europa, wirft in der Schweiz und in Europa zahl- zwischen Personen- und Sachdaten betonen, welche
reiche legitime Fragen auf. In diesem Sinne begrüssen wir entscheidend ist für die Anwendung der Schutzbestim-
die Motion 16.3752 der FDP-liberalen Fraktion «Gegen mungen des DSG.
Doppelspurigkeiten im Datenschutz», in welcher der Nicht zuletzt haben wir zum Bericht zur Aussen-
Bundesrat beauftragt wird, mit der Europäischen Union wirtschaftspolitik 2016 und den Botschaften zu Wirt-
eine Vereinbarung zur Koordinierung der Anwendung schaftsvereinbarungen sowie zum Bericht über zolltari-
des jeweils geltenden Rechts anzustreben. farische Massnahmen im Jahr 2016 Stellung genommen.
Wir werden die Entwicklung der Revisionsvorlage Der Bericht setzt sich mit den Chancen und Herausforde-
auch im Anschluss an das externe Vernehmlassungsver- rungen der Globalisierung und Digitalisierung auseinan-
fahren aktiv verfolgen. der, ohne aber den in diesem Zusammenhang wichtigen
Schutz der Persönlichkeit der betroffenen Personen zu
erwähnen. Wir haben darauf hingewiesen, dass dies
1.2.2 Strategie «Digitale Schweiz» gerade wegen den aktuellen Verhandlungen zu Freihan-
delsabkommen notwendig wäre.
Im Rahmen von Ämterkonsultationen und Arbeitsgrup-
pen haben wir zur Umsetzung der Strategie «Digitale
Schweiz» des Bundesrates Stellung genommen und 1.2.3 Öffentlicher Verkehr:
dabei die datenschutzrechtlichen Anforderungen Umsetzung der Empfehlung
erläutert. Wir setzen uns dafür ein, dass Persönlich- zum SwissPass
keitsverletzungen bereits im Voraus verhindert werden. und weitere Beratung
Dazu müssen bereits bei der Planung eines Projektes
angemessene Schutzmassnahmen eingebaut werden. Im Rahmen einer Sachverhaltsabklärung haben wir im
Mit der Strategie «Digitale Schweiz» hat der Bundesrat Berichtsjahr die Umsetzung unserer Empfehlung zum
2014 eine neue Datenpolitik genehmigt. Diese zielt da- SwissPass überprüft. Wir werden der Transportbran-
rauf ab, die Chancen der Digitalisierung konsequent zu che weiterhin beratend zur Seite stehen.
nutzen, damit sich die Schweiz u.a. als innovativer, zu- Im Verlauf des Jahres haben wir die Umsetzung unse-
kunftsorientierter Wirtschafts- und Forschungsstandort rer Empfehlung und der Verbesserungsvorschläge in
positionieren kann. Die einzelnen Massnahmen der Stra- Sachen SwissPass überprüft (vgl. Ziff. 1.2.1 unseres
tegie werden in einem Aktionsplan definiert. 23. Tätigkeitsberichts 2015/2016). Dabei ging es vor
Eine Massnahme der Strategie umfasst die zent- allem darum sicherzustellen, dass die Kontrolldaten in
ralen Rahmenbedingungen für die digitale Wirtschaft, Zusammenhang mit dem SwissPass einerseits gelöscht
welche in einem Bericht ausgeführt werden. Bei der und andererseits nicht mehr erhoben werden. In diesem
Ämterkonsultation zu diesem Bericht wiesen wir dar- Zusammenhang führten wir zwei Nachkontrollen vor
auf hin, dass datenschutzrechtliche Aspekte bereits in Ort durch, an denen sowohl die SBB als auch der Ver-
der Planungs- und Entwicklungsphase von digitalen band öffentlicher Verkehr (VöV) anwesend waren. Zur
Wirtschaftsprojekten berücksichtigt werden müssen. Umsetzung der Empfehlung wurde insbesondere die
So sollen bereits zu Beginn eines Projektes angemessene Software der Lesegeräte angepasst. Die verschiedenen
Schutzmassnahmen eingebaut werden, um allfällige Transportunternehmen mussten diese übernehmen und
Gesetzesverstösse zu verhindern. Ein effektiver Daten- herunterladen. Gleichzeitig löschten die Verantwort-
16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragterlichen die bereits erhobenen SwissPass-Kontrolldaten angeben. Sollen die Daten nicht nur für die Berechnung
rückwirkend. Weiter übernahmen alle Transportunter- des Fahrpreises und die Rechnungstellung, sondern für
nehmen die Allgemeinen Geschäftsbedingungen (AGB) weitere Zwecke, wie Marketing erfolgen, braucht es auch
für die Halbtax- und Generalabonnemente, die im Sinne hierfür eine angemessene Information und Einwilligung
unseres Verbesserungsvorschlags auf den 1. Juni 2016 der Person. Auf unübliche Datenbearbeitungen ist spezi-
angepasst wurden. ell hinzuweisen. Die Bearbeitung von Bewegungsprofilen
Da unsere Empfehlung vom 4. Januar 2016 somit erfordert zudem eine ausdrückliche Einwilligung (z. B. in
umgesetzt wurde, schlossen wir die Sachverhaltsabklä- Form eines Opt-in anstelle eines Opt-out). Die erhobe-
rung ab. nen Personendaten gilt es verschlüsselt zu übermitteln.
Wir stehen weiterhin in Kontakt mit dem VöV und Die Transportbetriebe müssen zudem technische
der gesamten Transportbranche und begleiten diese im und organisatorische Massnahmen zum Schutz der
Rahmen unserer Beratungsfunktion. Dabei gilt es auch Daten ergreifen. Die Bewegungsdaten sind möglichst
sicherzustellen, dass die weitere Entwicklung des Swiss- zu pseudonymisieren oder zu anonymisieren. Für die
Pass in Einklang mit dem Datenschutz erfolgt. Auch mit Regulierung von Personenaufkommen und der Auslas-
dem Bundesamt für Verkehr (BAV), das die Schaffung ei- tung des Rollmaterials genügen anonymisierte Daten.
ner gesetzlichen Grundlage prüft, stehen wir in Kontakt. Sobald die Daten nicht mehr für Abrechnungszwecke
benötigt werden, sind diese zu löschen resp. zu anony-
misieren. Weiter dürfen nur diejenigen Mitarbeitenden
1.2.4 Elektronisches Ticketing und Personen Zugang zu den Daten haben, die diese für
die Erfüllung ihrer Aufgaben benötigen. Diese Personen
Das elektronische Ticketing wirft viele datenschutz- sind datenschutzrechtlich zu schulen und zu sensibili-
rechtliche Fragen auf. Es muss insbesondere freiwillig sieren. Schliesslich muss die korrekte Handhabung von
und nach angemessener Information des Reisenden Auskunftsgesuchen betroffener Personen sichergestellt
erfolgen. Aber auch die übrigen datenschutzrecht- sein, sodass sie erfahren, ob und welche Daten über sie
lichen Voraussetzungen sind zu berücksichtigen. bearbeitet werden.
Einzelne Transportunternehmen gelangten in Zusam-
menhang mit der Einführung des elektronischen
Ticketing an uns. Das elektronische Ticketing kann
unterschiedlich ausgestaltet sein. Um das Angebot nut-
zen zu können, muss die reisende Person vorgängig die
entsprechende App auf ihr mobiles Gerät herunterladen
und sich anmelden. Die Erfassung der Reise erfolgt
automatisch, in gewissen Fällen müssen Start und Ende
der Reise per Knopfdruck bestätigt werden. Von den
Reisenden werden Bewegungsprofile erhoben, die zur
Rechnungstellung benötigt werden.
Jedes elektronische Ticketing-System ist daraufhin
zu prüfen, ob es datenschutzkonform ist. Nachfolgend
wird lediglich auf die wichtigsten Punkte hingewiesen.
Zentral ist, dass es auf freiwilliger Basis erfolgt, die rei-
sende Person über die Datenbearbeitungen informiert ist
und dazu ihre Einwilligung abgibt. Ein Widerruf muss
jederzeit möglich sein. Es muss klar sein, wer Datenin-
haber ist; diese Information kann über die AGB erfolgen.
Die betroffene Person muss insbesondere wissen, wer
welche Daten über sie bearbeitet und wie lange diese
aufbewahrt werden. Dabei sind nur diejenigen Daten zu
bearbeiten, die tatsächlich geeignet sind und benötigt
werden (Verhältnismässigkeitsprinzip).
Grundsätzlich dürfen Transportunternehmen kei-
ne Bewegungsdaten an Dritte bekannt geben. So dürfen
sie beispielsweise einem für die Rechnungstellung beauf-
tragten Kreditkartenunternehmen nur den Gesamtbetrag,
nicht aber die gemachten Fahrten oder Bewegungsdaten
24. Tätigkeitsbericht 2016/17 171.3 Internet und
Telekommunikation
1.3.1 Abschluss der Sachverhalts- Unabhängig von der Anpassung des zukünftigen Instal-
abklärung zu Windows 10 lationsprozesses haben die Nutzer von Windows 10 die
Möglichkeit, die Datenbearbeitung und -übermittlungen
Der EDÖB hat im Berichtsjahr die Sachverhaltsabklä- jederzeit in den Systemeinstellungen anzupassen.
rung zum Betriebssystem Windows 10 von Microsoft Wir erachten die erreichte Lösung, insbesondere
abgeschlossen. Das Unternehmen hat unsere Empfeh- die direkte Verlinkung zu den relevanten Passagen der
lungen zur Verbesserung der Transparenz der Datenbe- Datenschutzerklärung und die Wahlmöglichkeiten, als
arbeitung und der diesbezüglichen Wahlmöglichkeiten Mindeststandard für Anwendungen und Dienste anderer
umgesetzt. Unternehmen. Bei künftigen Abklärungen werden wir
Bei der 2015 eröffneten Abklärung zu Windows 10 (vgl. die zu überprüfenden Datenbearbeitungen an der mit
23. Tätigkeitsbericht 2015/2016, Ziffer 1.3.1), stellten Microsoft erzielten Lösung messen.
wir fest, dass die Datenbearbeitung im Rahmen von
Windows 10 teilweise nicht datenschutzkonform verlief.
So genügten der Seitenaufbau und der Inhalt der Seiten 1.3.2 Neue Datenschutzbestimmungen
«Schnell einsteigen» und «Einstellungen anpassen» nur von Swisscom
beschränkt den Anforderungen an eine transparente In-
formation. Aus inhaltlicher Sicht fehlten Informationen Im Berichtsjahr hat uns Swisscom über geplante neue
zur Speicherdauer der übermittelten Daten, zum Inhalt Datenbearbeitungen informiert. In der anschliessen-
von Browserdaten sowie zum Inhalt von Feedback- und den Beratung erläuterten wir dem Unternehmen die
Diagnosedaten. Zudem war es für die Nutzer umständ- gesetzlichen Pflichten in Zusammenhang mit der Infor-
lich, bei den einzelnen Datenbearbeitungen weiterge- mation und der Einwilligung der Kunden.
hende Informationen, z. B. aus den relevanten Passagen Das Telekommunikationsunternehmen Swisscom hat
der Datenschutzerklärung, nachzuschlagen. Wir erlies- 2016 verschiedene Änderungen in der Kundendaten-
sen deshalb mehrere Empfehlungen. bearbeitung vorgenommen. Diese zielen darauf ab, den
Microsoft hat uns in der Folge Vorschläge zur Behe- Kunden persönlich zugeschnittene Werbeangebote
bung der festgestellten Mängel vorgelegt. Unsere Rück- zustellen zu können. Zudem sollen gewisse nicht-per-
meldungen wurden von Microsoft eingearbeitet, so dass sonenbezogene Daten dem Werbenetzwerk Admeira zur
eine datenschutzkonforme Umsetzung der Empfehlun- Verfügung gestellt werden. Die Firma beabsichtigte, ihre
gen erreicht und auf ein Verfahren vor dem Bundesver- Kundschaft in einer separaten Datenschutzerklärung
waltungsgericht verzichtet werden konnte. Mit den nun über diese Umstände zu informieren und die allgemeinen
festgelegten Anpassungen werden die Angaben zu den Geschäftsbedingungen entsprechend anzupassen. Sie bat
Datenbearbeitungen präzisiert. Zudem werden die Nut- uns, zu den geplanten Neuerungen Stellung zu nehmen.
zer mit der neuen Einstellungsseite während dem Instal- Wie unsere Prüfung der Unterlagen ergab, fallen
lationsprozess klar darauf hingewiesen, dass sie die Da- durch den Ausbau der Datenbearbeitung Persönlich-
tenbearbeitungen und -übermittlungen im Rahmen von keitsprofile im Sinne des Datenschutzgesetzes an. Da
Windows 10 festlegen und in diese einwilligen müssen. die Daten zu einem neuen Zweck (Marketing) bearbeitet
Die technische Umsetzung der von uns geforderten werden, ist ein Rechtfertigungsgrund erforderlich. Im
Anpassungen erfolgt weltweit über die beiden für 2017 hier zu beurteilenden Fall kommt nur die Einwilligung
geplanten Softwarereleases von Windows 10. Im ersten der betroffenen Personen in Frage. Gemäss Datenschutz-
Release werden allen Benutzern bei der Neuinstallation gesetz ist die Bearbeitung von Persönlichkeitsprofilen
bzw. bei einem Update auf dieses Betriebssystem die Ein- nur zulässig, wenn die betroffenen Personen ausdrück-
stellungsmöglichkeiten der Datenübermittlungen mit lich zugestimmt haben. Dem Datenbearbeiter obliegt
umfangreicheren Informationen angezeigt. Im zweiten eine erweiterte Informationspflicht: Er muss zusätzlich
Release können die Benutzer beim Installationsprozess am Ort, wo der Kunde seine Zustimmung schriftlich
zusätzlich direkt auf die entsprechende Passage in der Da- oder elektronisch kundtut, über die Beschaffung von
tenschutzerklärung zugreifen. Die Verlinkung zu weiter- Persönlichkeitsprofilen informieren, damit eine gültige
führenden Informationen in der Datenschutzerklärung Einwilligung vorliegt. Er kann dabei auf die betreffenden
erhöht die Transparenz und erleichtert es den Benutzern, Ziffern in der separaten Datenschutzerklärung verweisen
sich in der umfangreichen und ausführlichen Erklärung und dort die relevanten Informationen weiter ausführen.
zurecht zu finden. Die Kunden haben das Recht, der Bearbeitung ihrer
18 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterSie können auch lesen
